Hackerské útoky na nemocnice v časech pandemie ukázaly, že problém kyberbezpečnosti je ještě naléhavější, než se doteď mohlo zdát: útočníci nemají zábrany, jediným cílem je napáchat co největší škody. Znepokojující je i to, že některé útoky jsou natolik sofistikované, že za nimi možná stojí organizované skupiny, nebo dokonce některé státy.

Analytické oddělení společnosti Google Threat Analysis Group (TAG) koncem dubna zveřejnilo studii, v níž tvrdí, že nejméně 12 organizací, za nimiž skrytě stojí nebo je financují vlády, využilo pandemii covid-19 jako příležitost ke kybernetickým útokům a krádežím dat. "Hackeři často krize přímo vyhlížejí, protože je to pro ně dobrá příležitost, a současná pandemie není výjimkou," uvedl v této souvislosti šéf TAG Shane Huntley.

Ve studii TAG se uvádí, že během pandemie její analytici denně zaznamenávali okolo 18 milionů pokusů o rozeslání phishingových zpráv, tedy e-mailů s přílohami, po jejichž otevření počítač nebo síť infikuje škodlivý program. Ten se pak buď snaží hledat a odesílat citlivá data, nebo síť vyřadit z provozu. Během pandemie mířily tyto zprávy a další kybernetické útoky především na zaměstnance státních institucí a zdravotnických organizací.

Krize jako šance

Během současné pandemie zaznamenala společnost Google více než 250 milionů podezřelých e-mailů s tématem koronaviru. Značnou část jich zablokovala. Hackeři často krize přímo vyhlížejí, protože je to pro ně dobrá příležitost.

Útoky se vyznačují svébytným rukopisem, podle něhož analytikové usuzují na konkrétní hackerské skupiny. Uvádějí například hackerské uskupení, kterému říkají Dark Hotel (už dříve útočící na americké akademické kruhy), nebo Phosphorus (někdy označované jako APT 35 nebo Charming Kitten), jež bylo aktivní i v období amerických prezidentských voleb. Společnost Google ve své zprávě uvádí, že během pandemie zaznamenala více než 250 milionů podezřelých e-mailů s tématem koronavirus, z nichž značnou část zablokovala.

Phishing je zdánlivě primitivní metoda útoku, proti níž existuje jednoduchá obrana: neotvírat přílohy zpráv od neznámých subjektů. Analytici Googlu ale upozorňují, že odesílatelé se snaží využít strachu z viru SARS-CoV-2. E-maily se proto tváří jako zprávy o epidemii, obraně proti viru, příznacích nemoci či o dopadech krize.

Původ útoků je téměř nemožné odhalit, protože probíhají přes zahraniční neregistrované servery anebo přes prostředníky. Uvádí se, že útočníci zůstávají neodhaleni ve více než 95 procentech případů.

Pod falešnou vlajkou

Ačkoliv v souvislosti s útoky během pandemie je zmiňován Írán, už vloni Andy Greenberg, který pro americký časopis Wired píše o kyberbezpečnosti, upozornil, že ne všechno, co vypadá jako íránské, opravdu íránské je. Uvedl, že podle zpráv americké Národní bezpečnostní agentury (NSA) a britské bezpečnostní organizace GCHQ ruská hackerská skupina známá jako Turla nebo Waterbug převzala servery íránské hackerské skupiny OilRig, aby je mohla využívat pro ruské cíle.

"Případ Turla ukazuje, jak rychle se vývoj kybernetických útoků posouvá vpřed," říká Andy Greenberg. "Ještě před několika málo lety měli jen nemotorné masky, dnes na sebe mohou vzít identitu jakékoliv jiné skupiny a nosit ji stejně pohodlně jako vlastní kůži."

Ruští hackeři jsou považováni za špičku v oboru. V operacích pod falešnou vlajkou vynikají zejména ti, kteří jsou napojeni na vojenskou zpravodajskou službu GRU a tajnou službu FSB. Už roku 2014 například skupina hackerů, kteří si říkali Cyber Berkut, během ukrajinských voleb napadla počítače volební komise. Později bylo odhaleno jejich spojení s ruskou hackerskou skupinou Fancy Bear, pracující pro GRU. Skupina se zaměřuje na krádeže dat, útoky proti prominentním novinářům, politickým, církevním a sportovním organizacím, státním úřadům a podobně. Obzvlášť spadeno má na volby do nejvyšších orgánů.

Podle serveru ZDNet stáli ruští hackeři i za útokem na počítače mezinárodního letiště v San Francisku letos v březnu. Mělo jít o ruskou skupinu známou jako Energetic Bear (někdy také Dragonfly), o níž se odborníci rovněž domnívají, že má vazby na ruské tajné služby. Útok byl zaměřený na weby pracovníků letiště a jeho dodavatelů, přičemž cílem bylo získat přihlašovací hesla. Ta by pak bylo možné využívat nejen ke krádežím dat a sledování pohybu osob i provozu letiště, ale v případě potřeby také k sabotážím.

Ve světle této pověsti nepřekvapí, že se o ruských hackerech mluvilo i v souvislosti s kybernetickými útoky na české nemocnice. Například ČTK zveřejnila vyjádření představitelů antivirové firmy Eset, podle nichž byl nástroj MBR Locker využívaný pro útok napsaný v ruském jazyce.

V Rusku také pracuje řada renomovaných firem produkujících antivirové programy. Ovšem nejslavnější z nich, Kaspersky Lab, už několik let čelí nařčením, že je ve spojení s FSB a že její software umí fungovat i jako spyware.

Hračky v roli špionů

Rusové jsou sice dobří, za jedničku v oboru je ale považována Čína. Na rozdíl od ruského zaměření na rozklad a destrukci spočívá těžiště činnosti hackerů říše středu spíš v získávání informací, především v průmyslové špionáži. "Čína představuje hrozbu nejen pro vládu, ale v konečném důsledku i pro celou naši společnost," uvedl už roku 2018 na slyšení v americkém Senátu šéf FBI Christopher Wray. Netýká se to ovšem jen Spojených států; v popředí tohoto druhu čínských zájmů jsou i vyspělé evropské země.

Čínští hackeři už přišli na to, že vlamovat se do stále lépe chráněných sítí vládních institucí je obtížné, ale i zbytečné; stačí se zaměřit na jejich dodavatele ze soukromého sektoru a spolupracující univerzity. Včetně těch, které pro ně zajišťují kybernetickou bezpečnost. Čína také zjistila, že technologická a jiná tajemství nemusí pracně dobývat prolamováním firewallů, když si je může jednoduše koupit − i s jejich dosavadním vlastníkem.

Ukázkovým příkladem byla koupě kalifornské firmy Atop Tech společností Avatar Integrated Systems. Atop se zabývala vývojem pokročilých čipových technologií pro zbraňové systémy, přesto vládním orgánům nějak uniklo, že za Avatarem stojí čínský kapitál. Čínské investice do koupě technologických firem (včetně start-upů) se ročně pohybují v řádu miliard dolarů. Republikánský senátor za Texas John Cornyn to komentoval slovy: "Vysávají naše průmyslové schopnosti prostřednictvím soukromých společností. Jejich cílem je obrátit naše technologie proti nám."

Jak konkrétně takové obracení vypadá, demonstruje podezření, že čínský výrobce smartphonů a dodavatel technologií pro sítě 5G spolupracuje s čínskými bezpečnostními orgány a zpravodajskými službami. Existuje podezření, že jejich technologie dodávané do celého světa mají být trojským koněm otevírajícím bránu pro hackery a špiony. Huawei to samozřejmě odmítá. Stejné podezření padá dokonce i na čínské výrobce hraček. Roku 2017 zakázala US Army svým jednotkám používání na trhu běžně dostupných dronů čínské firmy DJI kvůli blíže nespecifikovaným bezpečnostním rizikům.

V časech míru se musí hackeři přece jen držet v určitých mezích. Ovšem Izrael, který žije v trvalém ohrožení, si čas od času takové servítky nebere. Jak by vypadal kyberútok v časech otevřeného nepřátelství, roku 2010 trochu naznačilo vyřazení íránských centrifug obohacujících uran pro jaderné zbraně, kdy se podařilo ohrozit zařízení tajného a mimořádně dobře střeženého objektu.

Experti proto nepochybují o tom, že každá velká válka budoucnosti začne masivním kybernetickým útokem. A že mezi prvními příznaky a totálním zhroucením infrastruktury může uplynout jen několik desítek minut.

Článek byl publikován v komerční příloze HN Obrana a bezpečnost.

Související